Herr Haas, Leiter des Grundsatzreferates, berichtete zunächst über den Stand des Verfahrens zum Gesetzgebungspaket der EU-Kommission. Die Beratungen zur neuen Geldtransferverordnung, die die Vorgaben für Kryptodienstleister neu regelt, sind abgeschlossen. Bei den anderen drei Bausteinen des Paketes – die neue, europaweit gültige Geldwäsche-Verordnung, die neue Geldwäsche-Richtlinie sowie die Verordnung zur Einrichtung einer übergeordneten Aufsichtsbehörde auf EU-Ebene – sind die Beratungen im Europäischen Parlament Mitte 2023 abgeschlossen worden und der Trilog wurde gestartet. Nachdem ein Gesetzesvorschlag der EU-Kommission zunächst getrennt im Ministerrat mit den Vertretern der Regierungen aller Mitgliedsstaaten und im Europäischen Parlament von den von den Bürgern der Mitgliedsstaaten gewählten Abgeordneten diskutiert wurden, findet im Trilog zwischen den beiden Gremien, Rat und Parlament, unter Vermittlung der Kommission die abschließende Beratung statt. Dabei wird oft noch um Kompromisse zwischen den unterschiedlichen Positionen gerungen.

Fest steht bereits, dass Anbieter von Krypto-Dienstleistungen Verpflichtete nach der Geldwäsche-Richtlinie werden. Zudem werden für sie auch erhöhte Anforderungen bei grenzüberschreitenden Korrespondenzbeziehungen sowie besondere Pflichten bei Transfers von Kryptowerten ab einem Gegenwert von 1.000 Euro gelten.

Auf nationaler Ebene soll durch das Finanzkriminalitätsbekämpfungsgesetz (FKBG) eine Geldwäsche-Aufsicht auch für Holdinggesellschaften eingeführt werden. Darüber hinaus sollen ab 2025 Verpflichtete nach dem GwG der BaFin solche Daten melden, die für eine risikobasierte Aufsicht benötigt werden – die Auswahl der zu meldenden Daten wird sich nach den EBA-Leitlinien richten und soll in einer Allgemeinverfügung konkretisiert werden.

Zur Prüfung von Bartransaktionen soll ein bindender Standard geschaffen werden, dies sieht die Aufsichtsbehörde als milderes Mittel im Vergleich zu einer Bargeldobergrenze. Erwartet wird, dass entsprechende Transaktionen geprüft werden und diese Prüfung über die rein formale Vorlage von Nachweisen hinausgeht. Hinsichtlich der Frage, ob eine Transaktion, zu der eine Verdachtsmeldung erfolgt ist, nach Ablauf der 3-tägigen Sperrfrist ohne Antwort der FIU ohne weitere Prüfung durchgeführt werden dürfe, gab es die klare Feststellung, dass dies keinesfalls pauschal und ungeprüft erfolgen dürfe. Im Gegenteil dürfe bei sich aufdrängenden Hinweisen oder Bedenken eine solche Transaktion auch nach Ablauf der Frist gem. § 46 GwG nicht durchgeführt werden.

Zur Identifizierung von Minderjährigen ist eine Kopie einer Geburtsurkunde nicht zulässig, diese muss im Original vorgelegt werden. Die in 2023 erfolgten Änderungen der Berufsordnung für Rechtsanwälte (BORA), die die Nutzung von Sammelanderkonten bei risikoerhöhenden Faktoren (z.B. Verwaltung von Mandantengeldern aus einem Hochrisikostaat) ausschließen, können nach Einschätzung der BaFin als Indiz für ein geringeres Risiko und damit die Anwendbarkeit der vereinfachten Sorgfaltspflichten gewertet werden.

Abschließend wies der Referent darauf hin, dass in 2024 die Auslegungs- und Anwendungshinweise (AuA) der BaFin aktualisiert werden sollen. Dazu sollen zunächst Konsultationen mit den Verbänden und internen Stellen stattfinden, eine Veröffentlichung ist für Ende des Jahres vorgesehen.

In weiteren Fachvorträgen wurde dezidiert auf die Aufsichtserfahrung in den einzelnen Subsektoren des Finanzsektors eingegangen. Für eine ausführliche Übersicht empfehlen wir die Durchsicht der auf der Homepage der BaFin veröffentlichten Vortragsunterlagen.

In allen Vorträgen wurde auf die bisher unzureichende Berücksichtigung von Risiken aus Terrorismusfinanzierung in den Risikoanalysen hingewiesen. Geldwäsche- und Terrorismusfinanzierungsrisiken müssen getrennt voneinander behandelt werden und die Bestandsaufnahme der Unternehmenssituation müsse vollständig und strukturiert sein. Vergleichbaren Anforderungen sind wir bei der Betreuung von Prüfungen durch die BaFin bei unseren Mandanten begegnet. Für Versicherungen wurde nochmals darauf hingewiesen, dass Risikolebensversicherungen grundsätzlich ein hohes TF-Risiko beinhalten. Moniert wird auch, dass häufig nur Nettorisiken (nach Sicherungsmaßnahmen) bewertet würden und damit keine nachvollziehbare Bewertung der Wirksamkeit der Sicherungsmaßnahmen möglich sei. Die Aufsicht erwartet, dass Risiken zunächst brutto/vor Sicherungsmaßnahmen bewertet werden und nach Ableitung entsprechender Maßnahmen das verbleibende (Rest-)Risiko netto ermittelt wird.

Banken wurden zudem aufgefordert, hinsichtlich ihres Monitoring-Systems nach § 25h KWG auch die transaktionsbezogenen Risiken vollständig zu berücksichtigen und Schwellenwerte nachvollziehbar festzulegen. Häufiger festgestellte Bearbeitungsrückstände in der Trefferbearbeitung mit der Folge verspäteter Abgabe von Verdachtsmeldungen wurden ebenso moniert wie die zum Teil fehlenden Kapazitäten der Funktion des Geldwäschebeauftragten, der häufig mit einem zu geringen Prozentsatz seiner Kapazität für die Geldwäscheprävention eingesetzt werde. Ein Ausbau der personellen Ressourcen wird genauso erwartet, wie ein vollständiges Kontrollkonzept, dessen Erkenntnisse zur Bewertung der Wirksamkeit der Sicherungsmaßnahmen heranzuziehen sind.

Bei Versicherungen wurde darauf hingewiesen, dass insbesondere bei Nutzung mehrerer Vertriebsformen eine differenzierte Bewertung der einzelnen Vertriebskanäle (Online-Vertrieb, gebundener Makler, freier Vermittler etc.) zu erfolgen habe. Ebenfalls wurde darauf hingewiesen, dass die Sicherungsmaßnahmen entsprechend der individuellen Risikosituation abzuleiten seien und der Geldwäschebeauftragte bei Sonderformen von Produkten bzw. neuen Produkten zur Bewertung der Risiken einbezogen werden muss. Auch die Überwachung der Mittelzuflüsse einer Kundenbeziehung entspreche nicht immer den Anforderungen, insbesondere bei komplexen Produkten oder Kunden mit mehreren Versicherungsverträgen bzw. Verträgen mit Zuzahlungsmöglichkeiten. Hinsichtlich der Überprüfung politisch exponierter Personen dürfen Institute nicht pauschal voraussetzen, dass kein PEP-Status vorliegt und eine Überprüfung z.B. durch Abgleich mit entsprechenden Listen darf nicht nur sporadisch erfolgen.

Von Kapitalverwaltungsgesellschaften und Wertpapierinstituten erwartet die BaFin, dass die Risikobewertung für einzelne Anleger nachvollziehbar ist und klar ersichtlich ist, mit welchem Gewicht einzelne Faktoren in die Bewertung einfließen. Als häufige Mängel im KYC—Prozess wurde u.a. festgestellt, dass die Erhebung der Angaben zu den Quellen der Finanzmittel für einzelne Transaktionen (Source of Funds SoF) bzw. zum Vermögen (Source of Wealth SoW) des Kunden und ggfs. des wirtschaftlich Berechtigten nicht immer den Anforderungen entspricht. Vereinfachte Sorgfaltspflichten dürfen nicht der Regelfall in der Praxis sein, da das GwG dies nur in Ausnahmefällen vorsieht und persönliche Bekanntheit entbindet nicht von der Pflicht zur Identifizierung. Ebenfalls reichen notariell beglaubigte Kopien eines Legitimationsdokumentes von im Ausland ansässigen Personen i.d.R. nicht aus. Bei Nutzung von grenzüberschreitenden Korrespondenzbeziehungen mit Respondenten aus einem Drittstaat sind verstärkte Sorgfaltspflichten anzuwenden.

Bei Kryptodienstleistern wurde insbesondere moniert, dass Verdachtsmeldungen oft nicht unverzüglich und nicht in der notwendigen Qualität erfolgten. Die geplante stärkere Regulierung durch die Transfer of Funds Regulation (TFR) und die Markets in Crypto Assets Regulation (MiCAR) sehen vor, dass Krypto-Dienstleister Verpflichtete nach GwG sind und entsprechende interne Sicherungssysteme zur Prävention einrichten müssen. Neben der Einführung der Travel Rule wird insbesondere das Vorliegen einer aufsichtlichen Erlaubnis für die Erbringung von Dienstleistungen im Bereich von Kryptowerten vorausgesetzt.

Praxistipp:

Für Verpflichtete aus dem Aufsichtsbereich der BaFin empfiehlt es sich, die Ausführungen sehr genau zur Kenntnis zu nehmen und das eigene Risikomanagement daraufhin zu überprüfen, ob die von der Aufsicht monierten Punkte hinreichend berücksichtigt werden. Die einzelnen Fachvorträge finden Sie hier.

Wenn Sie hinsichtlich der Risikobewertung für Ihre Kunden Unterstützung suchen, können wir Ihnen aufsichtskonforme Mustervorlagen zur Verfügung stellen – sprechen Sie uns gerne an!